移动APP行业报告
移动APP行业报告一
移动APP安全行业现状与导读
移动APP已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动互联网活跃用户数已经突破10亿,移动互联网这样快速的推移,移动互联网的安全问题更为严峻,基于腾讯云乐固和腾讯平台的大数据分析,整个移动应用开发者所面临的安全问题主要涉及面有终端漏洞威胁,应用重打包威胁,应用仿冒威胁。
本移动APP安全行业报告将对金融、电商、游戏三大重灾区行业进行举例分析并配以图表说明,还原移动 APP 安全行业本貌。本期来看金融篇。
金融行业App安全现状概述
学习啦在线学习网 据统计,2015年金融行业移动 APP 用户约为8亿,2016年用户约增长至10亿。
金融行业移动 APP 受漏洞影响如图所示
高危占比23%:数据传输不安全导致盗取用户钱财损害平台利益。
中危占比40%:用户敏感信息泄露,应用被重打包后加入恶意代码和广告。
低危占比37%:应用崩溃,APP主要逻辑被逆向。
支付安全问题位列金融行业移动 APP 安全问题之首。
安全问题种类繁多,但其究竟是如何给广大 APP 用户造成危害的,我们选取一枚案例共同深入分析。
案例说话
学习啦在线学习网 1 客户端与服务器传输安全
中间人攻击原理:中间人攻击主要发生在客户端与服务器通信过程中,黑客利用网络协议的漏洞,进行数据监听数据窃取以及数据篡改等违法行为。
学习啦在线学习网 正常通信过程如下所示 :
在android的https协议中,若自定义的X509TrustManager不校验证书或实现的自定义HostnameVerifier不校验域名接受任意域名,就会触发中间人攻击漏洞。
学习啦在线学习网 非正常通信过程如下图所示:
学习啦在线学习网 乐固团队分析发现大部分银行和理财类APP,都存在此漏洞。
学习啦在线学习网 某银行 APP 反编译代码截图
2 用户输入数据传输安全
用户手机如果 root过,病毒软件就可以通过监听系统键盘或第三方输入法等方式来获取用户输入的信息,并转发到不法分子手中。
著名漏洞平台上曾经曝光过著名输入法的输入漏洞。
某电商 APP 键盘记录漏洞
3 本地数据安全
安卓 Shared Preferences 本地存储方式是开发者常用的存储本地信息的方式,但在 root 过的手机上,黑客可以轻松查阅这些明文保存的信息。
学习啦在线学习网 而 android 自带的 SQLite 数据库,也是以明文的形式存储在本地文件中的。黑客同样可以在 root 过的手机中查看这些信息。
移动APP行业报告二
讲到移动电商,那要先说到什么是电子商务了。电子商务网上概念都有:“是指买卖双方基于互联网进行各种商贸活动,实现消费者网上购物、 网上交易和在线支付以及各种金融活动和相关的综合服务活动的商 业运营模式。”,传统的电子商务是以PC机作为操作界面,也可以称为有线电子商务。
学习啦在线学习网 而移动电子商务,与传统电子商务区别主要有两个:一个是它使用了智能手机、PAD,掌上电脑等无线移动设备进行电子商务,二是它使用因特网、移动通信技术、短距离通信技术及其它电子信息技术相结合,完美的实现了随时随地,线上线下购物与交易。说白了就是,以前电子商务大家都坐在电脑前,进行商品的浏览、下单,再由线下物流配送。而随着技术的发展,后面大家使用移动设备,可以随时随地的进行购物,并且使用移动的一些特有技术,如:lbs,二维码等技术加强了原来的某些消费环节的体验。
学习啦在线学习网 好了,回到报告来,报告中指出了移动电商行业的四个主要观点(引用原话哈):
1、移动电商进入下半场:移动端流量红利消失, 移动电商进入下半场角逐。
学习啦在线学习网 2、移动电商新势力崛起:老牌成熟企业成功转移至移动端,优势依旧, 继续领跑;垂直领域崛起移动电商新势力。
3、个性化服务是新竞争点:核心竞争点从基础服务 提供转为个性化精准服务。
4、社交化和垂直经济是趋势:社交化、内容化、场景化是移动电商发展新趋势;垂直领域、垂直用户经 济以及新模式创新为新机会点。
这里的第一个观点提到两个内容,一个是移动电商进入下半场 ,另一个是移动端的流量红利消失。第一个移动电商进入下半场,主要是从艾瑞数据研究发现整个电子商务市场的增长呈稳定增长的趋势,2016年中国电子商务市场交易规模20.2万亿元,增长23.6%,其中,网络购物占比为23.3%。网络购物购依旧是零售的主流渠道,2016年中国网络购物市场交易规模为4.7万亿元,占社会消费品零售 14.2%,也就是说零售消费100元,有14.2元是来自网络购物。网络购物已进行移动消费时代,2016年中国移动网购在整体网络购物交易规模中占比达到68.2%,比去年增长22.8个百分点,移动端 已超过PC端成为网购市场更主要的消费场景。第二个移动端的流量红利消失,移动电商探索存量增值,2016年手机网民规模已达6.6亿人,市场增量空间减少。
第二个观点,可以发现老牌传统的电商企业,成功转移至移动端,而且势头依旧。像淘宝、京东这些企业从2000年开始就在深耕电子商务。一些传统业的一些新兴移动电商企业也正在崛起,像母婴行业的贝贝,红孩子,生鲜行业的易果生鲜,家装行业的土巴兔、家装e站、齐家、爱空间、有住等。
学习啦在线学习网 除了传统行业外,还有一些新兴的业态,像微商、二手电商等。除了网络购物这个平台在发展外,电子商务的其它环节也在不断的完善,像支付环节,支付宝、微信、银联在线支付等都在慢慢被大众所接受。物流的ems,韵达快运、顺风速运等,(最近听说顺风也快要上市了,深入做好一个环节,也可以做强做大哈)。在传统的这些环节外,一些新兴的环节也应运而生,如:2005年开始出现了帮助传统电商企业进行 建站、物流、推广等相应的的代理运营企业,通过具备营销、产品、客服、供应链等全方面的知识,然后可以跟传统企业销售分成。还出现了一些专门为消费者进行导购的网站,帮助引导消费者进行消费。(图五)可以看到传统的企业在垂直行业做大,代表了电商未来的新势力(图六)。
移动APP行业报告三
电商行业 APP 安全问题
解决方案
学习啦在线学习网 随着互联网的蓬勃发展,网购已经成为居民生活消费不可获取的重要部分。除了移动应用通用安全问题外,电商 APP 在业务安全方面存在的问题较大,腾讯云乐固针对电商 APP 提供了定制的安全解决方案。
学习啦在线学习网 1.支付安全解决方案
采用高度定制的安全键盘,严格的双认证传输通道,确保输入数据安全以及输入层到传输层的数据安全,有效防止截屏、输入信息窃取等威胁。
2.应用安全解决方案
乐固安全产品在源码、资源文件、运行时内存、逆向破解等方面对电商 APP 进行全方位保护。
3.业务安全解决方案
在 APP 集成短信验证码安全 SDK,与腾讯云乐固&天御防刷后台配合,有效防止批量注册、扫号以及“薅羊毛”等恶意行为,避免企业被刷带来的巨大经济损失。
小结
学习啦在线学习网 对抗“羊毛党”,根源上是识别用户是否真实,是否可靠。电商平台需从多维度去鉴别、过滤。
学习啦在线学习网 游戏行业移动 APP安全
现状图示
据统计,2016年游戏类移动 APP 款数约2.6万,2015年游戏类移动 APP 款数约1.5万,2016年相比2015年增长约73%。
高危占比29.9%:游戏客户端与服务器数据传输不安全导致游戏数据可篡改、可泄露等;
学习啦在线学习网 中危占比29.2%:游戏客户端本地存档数据未加密,导致存档可篡改、隐私泄露;
低危占比40.9%:应用内存在部分逻辑不严谨,导致在某些情况下应用崩溃。
游戏行业移动 APP 安全问题
学习啦在线学习网 案例说话——重打包
如同传统的互联网黑产一样,手机游戏黑产主要目的是获取非法收益,其手法多种多样,主要包括插入恶意代码、插入广告、破解等。
学习啦在线学习网 首先,插入恶意代码主要的方法是黑客对下载的游戏安装包进行反编译,在其中加入恶意代码,再将游戏重新打包为安装包,进行二次发布。相对于原始游戏应用,插入恶意代码的游戏应用可以进行恶意扣费、读取用户的隐私数据、破坏用户的设备,极大损害游戏厂商与游戏玩家的利益;
其次,插入广告作为获取收入的最直接方式,经常出现在手机游戏应用中。普通用户可能不知道这些广告中大部分来自于“打包党”的二次插入,“打包党”们通过反编译工具向应用中插入广告代码与相关配置,再在第三方应用市场、论坛发布;
最后,破解作为直接破坏游戏平衡性的最佳方法一直是游戏开发者深恶痛绝的一种安全问题。众所周知,很大一部分游戏的收入来自于游戏中出售的虚拟物品,而黑客可以使用反编译的手段修改游戏逻辑代码绕过付费验证逻辑,达到不付费即可体验游戏收费功能的目的。这不仅损害了游戏厂商的利益,更破坏了整个游戏体系的平衡,对整个游戏运营系统是暴击。
与此同时,部分渠道被重打包的盗版游戏代码内除了游戏本身的逻辑代码外还包含了一些发送短信的恶意代码,相关的模块在原始的正版应用中并不存在,如下图:
游戏行业移动 APP 所遇安全问题
案例说话——外挂
学习啦在线学习网 外挂作为破坏游戏平衡性的常规手段对单机游戏与网络游戏均具备较大的破坏力,对于单机游戏来说,外挂可以协助玩家以较低成本完成游戏,破坏游戏本身的平衡性与可玩性;对于网络游戏来说,外挂在破坏游戏平衡性的同时也会增加服务器端的计算压力。也正因为外挂对于游戏的破坏力惊人,外挂通常被游戏开发者、运营商认定为主要安全问题。
腾讯云乐固团队对市场上比较流行的一款消除类游戏进行调查发现,该游戏外挂以辅助工具的名义存在于各大游戏论坛中,其使用方法简单粗暴,并且配以图文教程。其主要手段是提示消除路径、增加道具使用次数、篡改消除单元排列,通过这些“辅助”方法,游戏难度大大降低,游戏平衡性荡然无存。
学习啦在线学习网 下图是篡改消除单元排列的效果图:
游戏行业移动 APP 安全问题
解决方案
通过上文的分析可以看出,手游行业所存在的安全问题主要包括重打包与外挂两大类,腾讯云乐固推出一套完善的移动游戏安全解决方案。
学习啦在线学习网 1.游戏反重打包解决方案
针对手机游戏行业中存在的插入恶意代码、插入广告、破解等问题,乐固制定了高强度的反重打包方案。在游戏开发者完成开发后,乐固对游戏安装包进行反重打包处理,处理后的游戏安装包内的任何代码、资源文件发生改动均无法正常运行游戏。
2.游戏反外挂解决方案
学习啦在线学习网 针对市场上出现的外挂进行分类对抗,提高游戏对外挂的免疫力,保护游戏平衡性。
移动 APP 安全行业现状总结
学习啦在线学习网 移动 APP 在安全方面存在较多的问题,并且问题分布与应用所在的行业具有密切的关系。比如金融行业的 APP 主要存在的安全问题大都跟数据相关,包括通讯数据安全、本地数据存储安全、运行时数据安全等;电商行业的APP对注册、登录、账户密码安全相关的方面需求更为强烈,包括密码撞库、业务防刷、密码泄漏等;游戏类APP所存在的安全问题根据游戏类型的不同而千差万别,但究其本质主要包括重打包、外挂两大类。
对于APP开发团队来说,在复杂的外部环境中保护团队的开发成果是必要的,应尽可能采取针对行业的专业安全解决方案防范安全问题的出现。
学习啦在线学习网 对于APP用户来说,使用盗版应用存在的风险较大,建议从正规的应用市场下载应用。
移动 APP 安全行业报告暂告一段落。在移动 APP 安全方向我们将继续推出技术揭秘系列文章。
看了“移动APP行业报告”还看了:
2.手机应用市场分析
3.移动网络创业项目